Cybersecurity im Finanzsektor
Cybersecurity im Finanzsektor
Der gesamte Bankensektor steht unter Beobachtung, seit Bankeninsolvenzen, vermehrte Risikoanlagen und zwei Finanzkrisen die letzten 20 Jahre erschüttert haben. Besonders die Staaten in Europa – und sehr intensiv die EU – haben auf politischer Ebene darauf reagiert und die gesetzlichen Grundlagen für Banken verändert. Nach der weltweiten Finanzkrise muss festgehalten werden, dass nicht alles Gold ist, was bei den international agierenden Banken glänzt. Aufgeblähte Kurse durch mangelhafte Krisenanfälligkeit und Risikoanalyse der Papiere sowie eine schlechte Kommunikationsstruktur haben gezeigt, dass Banken und Finanzdienstleister sich erheblich sicherer aufstellen müssen, um solchen Szenarien künftig vorzubeugen. Dazu gehören neben der Verpflichtung zu höheren Eigenkapitalrücklagen, unabhängig durchgeführte Stresstests und eine strengere Bankenaufsicht. Neben diesen erforderlichen Maßnahmen haben die Banken ein zusätzliches Problem: Die Sicherheit ihrer digitalen Prozesse.
Die deutschen und europäischen Banken befinden sich am Beginn einer Disruption und müssen aufgrund der Digitalisierung und damit verbundenen neuen Geschäftsprozesse an die Zukunft denken und sich digital weiterentwickeln. Diese Entwicklung sollte unter anderem unter den Gesichtspunkten von Security by Design erfolgen, um sich zukunftssicher gegen emergente Angriffe aufzustellen sowie brandneue und sichere Plattformen für Kunden zu etablieren. Ungenügende Sicherheitsmaßnahmen sind ein immenser Risikofaktor und Cyber Security wird somit in den gesamten Entwicklungsprozess einbezogen und nicht als Kostentreiber, sondern als Wettbewerbsvorteil betrachtet.
Vermehrte Hackerangriffe und voranschreitende Cyberkriminalität sorgen auch in diesem Bereich für strengere Auflagen im Finanzsektor, da auch hier die Politik stärker den Finger auf die Sicherheitsmaßnahmen legt. Hinzu kommen erhebliche konstatierte IT-Mängel, die besonders die Sicherheit bei Banken und Finanzdienstleistern betreffen, da die Anzahl von Hackerangriffen und Wirtschaftskriminalität auf IT-Ebene in den letzten Jahren sprunghaft in die Höhe gegangen ist.
Die potenziellen Angriffsszenarien sind vielfältig und eine große Gefahr für einzelne Finanzinstitute, wenn nicht sogar für den gesamten Finanzsektor. Banken und ähnliche Institute produzieren und verwalten Informationen, die den ganzen Sektor am Leben erhalten. Daher gehören Finanzinstitute zu den Betreibern von kritischen Infrastrukturen (KRITIS) und haben somit einen hohen Schutzbedarf.
Potenzielle Gefahren können durch Stromausfälle, Naturkatastrophen sowie Sabotage durch Hacker oder Terroristen entstehen. Diesen Gefahren müssen sich die Finanzinstitute durch hohe IT-Sicherheit in der Infrastruktur, als auch durch gelebte Prozesse stellen.
Die besondere Anfälligkeit dieser Strukturen im Bereich der Informationsverwaltung, -sicherung und -archivierung, liegt hier vor allem in der Vielzahl der zwischenzeitlich automatisierten Prozesse, die kaum oder gar keine Eingriffe durch Mitarbeiter mehr benötigen. Angriffe auf Bankensysteme sind punktuell und betreffen meist nur den isolierten Angriffspunkt, da die Rechenzentren der Banken redundant aufgebaut sind. Jedoch sind die Auswirkungen solcher Angriffe in finanzieller Hinsicht auch für verbundene Finanzinstitute spürbar, sofern sie Manipulationen oder direkte Geldabgriffe umfassen.
Um hier einen State of the Art zu bilden, der die Sicherheit gewährleisten kann, greifen viele Banken auf externe IT-Dienstleister zurück. Doch völlig problemfrei sind die schnellen Lösungen durch ein Outsourcing an einen externen IT-Sicherheitsdienstleister nicht, auch wenn sie Kosten senken und den Wissensvorsprung durch einen Spezialisten aufholen sollen.
Bei einer externen Lösung sind neben den vermeintlichen Vorteilen auch die Problemfelder zu analysieren, zu denen
- Compliance (Rechtskonformität)
- Haftung und Verantwortung
- Zuständigkeiten
- Störungsfreie Umsetzung und schnellstmögliche Rechtssicherheit gehören.
Die Dimensionen einer solchen Outsourcing-Entscheidung verdeutlicht die nachfolgende Grafik:
Compliance in Unternehmen
Banken stehen seit der Bankenkrise unter einer steigenden kritischen Beobachtung durch die Politik und Öffentlichkeit, was die Arbeit der Banken besonders in der Außensicht vor erhebliche Anstrengungen stellt, um verlorenes Vertrauensterrain zurückzugewinnen.
Hier ist es vor allem der Faktor IT-Sicherheit, der viele Fragen und Problemfelder aufwirft und Handlungsbedarf hervorbringt. Eine Herausforderung ist dabei die Einhaltung von Rechtsvorschriften, die seit ca. zehn Jahren erheblich zugenommen haben und ohne eine informationsunterstützte Arbeit durch Computer kaum noch zu bewältigen scheint. Heutzutage reicht es allerdings nicht mehr nur eine Hardware-Appliance oder Software zu installieren. Vielmehr müssen drei große Felder betrachtet werden, die sich allein mit der Compliance auseinandersetzen:
- Anforderungen
- Zuständigkeiten bzw. Verantwortungen
- Umsetzung
Den Bezugsrahmen zwischen Compliance und Outsourcing verdeutlicht die nachfolgende Grafik sehr deutlich:
Besonders zum Tragen kommt dies bei IT-Leistungen, die an einen externen Dienstleister weitergereicht werden und nicht mehr unter einer absolut direkten Kontrolle der Banken stehen. Welche Gesamtaufgabe sich dabei stellt, zeigt die folgende Definition nach Mossanen, Panitz und Amberg (S. 180, 2010), die hier zum grundlegenden Verständnis als Basis genommen wird.
„Compliance ist eine unternehmensweite und -übergreifende Anstrengung mit der Zielsetzung, externe sowie interne Vorschriften und Vorgaben unter der konsistenten Berücksichtigung von existenten und potenziellen Risiken einzuhalten.“
Worauf ist also im Einzelnen bei Banken oder Kreditinstituten zu achten, wenn Outsourcing in der IT vorgenommen wird?
Die Auswahl hat unter strengsten Analysen und Kontrollen zu erfolgen, da verschiedene Parameter im potenziellen Angebot eines Dienstleisters schon Risiken in sich tragen. Dazu muss der outsourcende Betrieb sich im Klaren darüber sein, welche rechtlichen Anforderungen intern bestehen und welche seitens des Dienstleisters strikt eingehalten werden müssen. Unter den Dienstleistern im Markt gibt es unterschiedliche Qualitätsstandards und Serviceleistungen, somit fällt es den meisten Kunden schwer die Qualitätsunterschiede in den angebotenen Leistungen zu unterscheiden. Hier ist es erforderlich zu überprüfen, welche Erfahrungswerte der Dienstleister von sich aus mitbringt und in welchen Bereichen ein Wissenstransfer von Seiten der Bank zu erfolgen hat, damit der Dienstleister in der Lage ist bankkonforme Dienste zu leisten.
Zusätzlich können auch landesspezifische Parameter greifen und zu Problemen führen. Ein Faktor kann die Sprache sein, welcher aber eher als gering eingestuft werden kann, wenn es sich um langjährige international agierende Partner handelt. Anders gestaltet sich dies mit den rechtlichen Vorgaben in einem jeden Land und die Kenntnis darüber beim Dienstleister. National gibt es immer noch feine Unterschiede in der rechtlichen Handhabung von IT-Sicherheit und IT-Nutzung, so dass von Seiten der Bank sichergestellt werden muss, dass der Dienstleister über internationale Kenntnisse der Richtlinien, Gesetze und Normen nach der ISO 27001 verfügt. Auch wenn dies gewährleistet ist, muss die Bank ein Controlling einführen, um eventuellen Verstößen durch Verwechslungen vorgreifen zu können. Letztlich sollten nicht allein die Kosten das ausschlaggebende Kriterium sein, wenn es um die Vergabe von Aufgabenfeldern an einen externen Partner geht. Vielmehr muss eine enge Partnerschaft mit einem beidseitigen, ständigen Wissensaustausch gegeben sein, um Verstöße aufgrund mangelnder Kenntnis der rechtlichen Grundlagen vorzubeugen.
IT-Kompatibilität als Faktor
Ein Dienstleister im IT-Bereich ist auch ein Wissensträger, der Fachkenntnisse mitbringt, die eine Bank ohne interne IT-Spezialisten nicht aufbringen kann. Hier ist der Gewinn für die Bank darin zu sehen, dass durch ein Outsourcing das entsprechende Fachwissen nicht in Eigenregie aufgebracht werden muss, sondern an den Dienstleister übertragen wird. Im weiteren Prozess der Zusammenarbeit kann der Dienstleister auf Wunsch des auslagernden Unternehmens sein Fachwissen ebenso an die Mitarbeiter der Bank weitergeben und damit den Wissensstand erweitern, damit ein Verständnis der Arbeit des Dienstleisters geschaffen wird und besonders der Bereich Monitoring und Controlling seitens der Bank auch effizient arbeiten kann.
Die Dienstleister sind dabei ständig bemüht, ihre Solutions-Komponenten und Services auf den neuesten Stand zu bringen und diese nutzbar für den Auftraggeber zu machen. Die Praxis zeigt jedoch, dass die Auftraggeber selten auf diesem Stand sind. Es sollte daher dafür gesorgt werden, die Vorteile einer aktuellen und modernen IT-Ausrüstung erkennbar zu machen. Dadurch werden zwar seitens der Bank Kosten generiert, aber die Kenntnisse des Partners schaffen sowohl mehr interne Sicherheit als auch bessere Umsetzungen von Arbeitsschritten und -prozessen, die an die Kunden weitergereicht werden können. Die Vorteile hierdurch können zum Beispiel Schnelligkeit, Datensicherheit und Genauigkeit sein. Wichtige Faktoren, die gern im Marketing kommuniziert werden und Vertrauen bei den Kunden schafft.
Neben den Vorteilen für die Bank ergeben hohe Kompatibilitäten ebenso Vorteile für den Dienstleister – Win-Win-Situationen – da Daten leichter ausgetauscht und mit gleichbleibender Sicherheit von einer Seite zur anderen transferiert werden können. Hier besteht für den Partner die Möglichkeit die Zusammenarbeit zu vertiefen und sein Wissen an die Bank weiterzuleiten.
Da Banken aber oftmals innerhalb einer Konzernverflechtung bestehen, ist es ebenso erforderlich, dass das generelle IT-Sicherheitsniveau und die Prozesse der anderen Konzernteilnehmer angepasst sind, und sich durch Erneuerungen keine Inkompatibilitäten zu den anderen Konzernteilnehmern auftun, die die Zusammenarbeit erschweren oder sogar gefährden können.
Besondere Vor- und Nachteile von Managed Security Services
Im Wesentlichen sind die Gründe für Managed Security Services dieselben wie für IT-Outsourcing. Hierbei liegt häufig der Fokus aus strategischen Aspekten auf den eigenen Kernkompetenzen, fehlendes Know-how und Kosteneinsparungspotentiale. Ergänzt werden die strategischen Vorteile durch operative Aspekte, wie verbesserte Transparenz der Kosten, Rentabilität und das Abschaffen von Engpässen in der Kapazitätssteuerung. Diese allgemeinen Chancen des IT-Outsourcings werden im Hinblick auf ein Voll- oder Teil-Outsourcing von IT-Sicherheitsdienstleistungen noch um besondere Vorteile ergänzt.
Zunächst ist hierbei der Zugriff auf Spezial-Know-how zu nennen. Eine Vielzahl der Unternehmen steht vor der Herausforderung, dass das ihnen zur Verfügung stehende Personal im Hinblick auf IT-Sicherheitsdienstleistungen nicht ausreichend qualifiziert ist. Insbesondere der ständige Wandel im Themengebiet der Technologie, neue Bedrohungspotentiale und sich rasch verändernde Bedürfnisse, bringen Unternehmen dazu, auf gebündeltes, voll qualifiziertes Know-how beim Dienstleister zurückzugreifen.
Ein weiterer Vorteil der Managed Security Services ist eine bessere Risikoverteilung im Hinblick auf Investitionen im Gesamtkontext der IT-Sicherheit. Während beim Eigenbetrieb der IT-Security das volle Risiko für Investitionen, beispielsweise für eine geeignete Sicherheitsinfrastruktur, beim Unternehmen selbst liegt, so kann ein Dienstleister für Managed Security Services dieses Risiko auf verschiedene Mandanten streuen und auch die Investitionskosten entsprechend verteilen. Somit reduziert das auslagernde Unternehmen sein finanzielles Gesamtrisiko.
Ein dritter spezieller Vorteil der Auslagerung von IT-Sicherheitsdienstleistungen lässt sich in der Kostenkontrolle festmachen. Wenn ein Unternehmen einen Dienstleister mit Managed Security Services beauftragt, so zahlt er in der Regel einen überschaubaren monatlichen Festbetrag. Besonders vorteilhaft ist hierbei, dass er mögliche Anfangsinvestitionen einspart. Sofern der Dienstleister die Implementierung der Sicherheitstechnologien durch eine effiziente Überwachung und Verwaltung zu niedrigen Kosten umsetzen kann, so sind die Gesamtbetriebskosten des Auslagerungsunternehmens ebenfalls gesenkt.
Wie zuvor dargestellt, bietet das Outsourcing von IT-Sicherheitsdienstleistungen eine Vielzahl an Vorteilen. Nun stellt sich noch die Frage, für welche Unternehmen ein Sicherheits-Outsourcing sinnvoll ist.
Hierzu kann gesagt werden, dass Managed Security Services besonders für kleine und mittlere Unternehmen vorteilhaft sind. Selbstverständlich sind alle Unternehmen, egal welcher Größe vom Thema IT-Sicherheit betroffen und müssen entsprechend gegen Bedrohungen vorbeugen. Jedoch haben kleine und mittlere Unternehmen meist nicht die finanziellen Ressourcen, um die benötigte Technologie für eine adäquate Sicherheitsinfrastruktur anzuschaffen oder entsprechend qualifizierte Mitarbeiter einzustellen.
Den genannten Vorteilen der Managed Security Services, steht eine Reihe von Risiken entgegen. Zunächst ist hierbei das Risiko des Wissens- und Personaltransfers zu nennen. Hierunter wird das Wissen verstanden, welches der Dienstleister beispielsweise über den Sicherheitsstand oder die Schwachstellen des auslagernden Unternehmens erhält. Um dieses Risiko beurteilen zu können, sind Vertrauensaspekte von besonderer Bedeutung. Sollte es beim Dienstleister zu datenschutzrechtlichen Verstößen kommen, so bleibt ein hohes Risiko und Schadenspotential beim auslagernden Unternehmen. Des Weiteren könnte es im Rahmen der Managed Security Services zu einer Abwanderung der unternehmenseigenen Mitarbeiter hin zum Dienstleister für IT-Sicherheitsdienstleistungen kommen. In diesem Fall wäre ein Übergang von kritischem betrieblichem oder technischem Know-how möglich. In der Regel sind Unternehmen allerdings nicht auf Sicherheitsdienstleistungen spezialisiert, sodass sich das Risiko der Abwanderung von bedeutendem Know-how in der Praxis eher selten realisiert.
Ein weiteres Risiko der Managed Security Services können in der Initialisierungsphase auftreten, wenn möglicherweise Kostenarten entstehen, die unberücksichtigt bleiben, da sie nicht voll transparent sind. So entsteht das Risiko der Hidden Costs, da es unabdingbar ist, im Vorfeld zu einer Auslagerung eine aussagefähige Wirtschaftlichkeits- und Risikoanalyse zu erstellen. Beispiele für häufig vernachlässigte Kosten sind Kosten der Vertragsanbahnungs- und Transitionsphase sowie Kosten, die im Nachgang entstehen, wenn Leistungen oder Vertragsklauseln vorab nicht ausreichend detailliert vereinbart wurden.
Sobald es im Rahmen der Managed Security Services zu Veränderungen im Unternehmen kommt, können organisatorische und prozessuale Risiken entstehen. Hierbei ist es von besonderer Bedeutung mit Entscheidung zum Outsourcing, alle Lasten und Pflichten, alle rechtlichen Vereinbarungen sowie die Kommunikations- und Eskalationswege umfassend zu vereinbaren. Im späteren Verlauf der Dienstleistungsbeziehung kann es sonst zu Störungen im Verhältnis mit dem Dienstleister kommen. Eine sehr detaillierte Prozess- und Schnittstellenbeschreibung ist in diesem Zusammenhang essenziell.
Ein weiteres Risiko, welches in der Praxis häufig im Vorfeld vernachlässigt wird, ist das rechtliche Risiko. Im Rahmen von Managed Security Services sollte immer auch festgelegt werden, wie ein Verstoß oder eine Schlechtleistung des Dienstleisters sanktioniert wird. Somit sind die Themen Haftung, Schlechtleistung und Vertragsstrafen wichtiger Bestandteil der Auslagerungsvereinbarung zwischen Unternehmen und Dienstleister. In der Regel wird die Haftung jedoch eingeschränkt, und zwar auf grobe Fahrlässigkeit und Vorsatz. Dies kann in der Praxis dazu führen, dass kleinere Unternehmen mit eingeschränkter finanzieller Robustheit großen Schaden nehmen, wenn es zu einem Schadenfall beim Dienstleister kommt.
Fazit
Somit ist zusammenfassend festzustellen, dass es eine Vielzahl an Vorteilen zugunsten von Managed Security Services gibt, jedoch auch einige Risiken nicht unbeachtet bleiben dürfen. Im Wesentlichen ist es eine Vertrauensfrage, ob ein Unternehmen einen Dienstleister mit IT-Sicherheitsdienstleistungen beauftragt.
Um die richtige Entscheidung hinsichtlich der Frage Make or Buy (Managed Security Services) zu treffen, nutzen in der Praxis einige Unternehmen externe Berater und deren Expertise, um systematisch alle Risiko- und Chancenfaktoren offenzulegen und ggf. zu mitigieren.
Wir beraten Sie gern hinsichtlich dieser Entscheidung.
Literaturverzeichnis:
Mossanen, Kian/Panitz, Johannes C./Amberg, Michael: „Compliance im IT-Outsourcing“. Ermittlung von Einflussfaktoren und Entwicklung von Gestaltungsempfehlungen. In: „Multi-Konferenz Wirtschaftsinformatik. Lüneburg: Leuphana Universität, 2010. S. 179 – 192.
Schwarze, Lars/Müller, Peter P.: „IT-Outsourcing-Erfahrungen, Status und zukünftige Herausforderungen“. In: „Themenheft Outsourcing“. HMD – Praxis der Wirtschaftsinformatik. Ausgabe 245. Herausgegeben durch Susanne Strahringer. Heidelberg: dpunkt, 2015. S. 6 – 17.